Entwicklung von TrueCrypt wurde eingestellt

Dieses Thema im Forum "News & IT Forum" wurde erstellt von Flipper, 28 Mai 2014.

  1. vaGem

    vaGem Bekanntes Mitglied

    Registriert seit:
    6 Juni 2002
    Beiträge:
    790
    ACK steht als Abkürzung für:

    ACK (Signal) (englisch ACKnowledgement), zur Bestätigung bei einer Datenübertragung
    abgeleitet für Zustimmung im Netzjargon
  2. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.073
    ACK = acknowledged (bestätigt)

    --edit--
    Das Zielfoto ergibt: vaGem war schneller!
  3. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.860
  4. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.802
  5. Silverado

    Silverado Aktives Mitglied

    Registriert seit:
    22 April 2001
    Beiträge:
    827
    Das kann ich nicht bestätigen: PXE-Boot bzw. TFTP/DHCP habe ich bei mir mit den ebenfalls verschlüsselten separaten Boot-Partitionen sowohl mit Win 8.1 als auch mit Win 7 laufen. Bei dem Win 8.1 PC fand das PXE Boot-Image zwar keine Festplatte, das ISO ging aber (lag aber wohl eher an der Hardware, nicht an Windows). Besondere Verrenkungen waren nicht erforderlich: Ubuntu 14.04 Server, tftpd-hpa und syslinux installiert und konfiguriert und dann diese config angelegt:

    DEFAULT menu.c32
    PROMPT 0
    MENU TITLE CSG PXE Boot Menu
    TIMEOUT 10

    ## Für das ISO ###
    LABEL Netboot encrypted Windows
    LINUX memdisk
    INITRD loader.iso
    APPEND iso vmalloc=256M
    TEXT HELP
    Try to boot ISO
    ENDTEXT

    ### Oder für die img-Datei ###
    LABEL DiskCryptor PXE Win Boot
    IPAPPEND 0
    MENU LABEL DiskCryptor PXE Win Boot
    PXE loader_img.0
    TEXT HELP
    Try to boot img
    ENDTEXT
    Sayata und Antitrack sagen Danke.
  6. F2B

    F2B Zwangsneurotiker

    Registriert seit:
    23 Dezember 2001
    Beiträge:
    3.576
    Bestatter sagt Danke.
  7. DetLife

    DetLife gesperrt

    Registriert seit:
    2 Mai 2001
    Beiträge:
    8.823
    Das war schon klar, deswegen mußte TrueCrypt ja auch sterben. So wie anno dunnemals PGP.
    hanzwurscht sagt Danke.
  8. WereWOLF GANG

    WereWOLF GANG Bekanntes Mitglied

    Registriert seit:
    26 September 2001
    Beiträge:
    2.711
    Also ich würde keine Verschlüsselung mehr benutzen, die in den USA oder in GB gemacht wird. David Cameron äußert sich da genau so radikal wie Obama und fordert keine Hintertüren, sondern direkten Zugang durch die "Vordertür":
    http://www.bankinfosecurity.com/cameron-obama-a-7809/op-1
  9. DetLife

    DetLife gesperrt

    Registriert seit:
    2 Mai 2001
    Beiträge:
    8.823
    Und wer schützt uns vor Terroristen wie David Cameron?
    Bestatter, jr33 und Grainger sagen Danke.
  10. Belzeboter

    Belzeboter Zombie

    Registriert seit:
    15 Mai 2003
    Beiträge:
    9.884
    Ist erst mal uninteressant, solange man in DE lebt.
    Da wird der Schuldige halt festgelegt, egal ob P2P oder Verschlüsselung ud
    der Gekniffene muß seine Unschuld beweisen - so die Praxis :(


    -Belzeboter-
  11. WereWOLF GANG

    WereWOLF GANG Bekanntes Mitglied

    Registriert seit:
    26 September 2001
    Beiträge:
    2.711
    Hab gerade einen interessanten Artikel gelesen, in dem Bruce Schneier "BestCrypt" empfiehlt:

    Quelle: https://firstlook.org/theintercept/2015/06/04/microsoft-disk-encryption/
    RichyZuHause, omycron und Twilight sagen Danke.
  12. ztrump

    ztrump Bekanntes Mitglied

    Registriert seit:
    5 Mai 2001
    Beiträge:
    2.691
    Ich stelle mal die Frage in den Raum, was von VeraCrypt zu halten ist?
    VeraCrypt stammt vom französischen Herstellter Idrix. Nachteil, es braucht ewig um die Containerdatei zu oeffnen.
    Hier stellt sich einer der Macher zur Diskusion, ob es sicher ist.
    Zuletzt bearbeitet: 23 Juni 2015
  13. hanzwurscht

    hanzwurscht Bekanntes Mitglied

    Registriert seit:
    1 November 2002
    Beiträge:
    1.644
    bei Firmen haben die Behörden ein viel größeres Druckmittel, um sich Hintertüren zu sichern
  14. DetLife

    DetLife gesperrt

    Registriert seit:
    2 Mai 2001
    Beiträge:
    8.823
    Danke für den Tip, zum Glück kann ich zwischen den Zeilen lesen:
    Note2myself: "BestCrypt" keinesfalls verwenden. ;)
    jr33 und schwaller sagen Danke.
  15. schwaller

    schwaller Bekanntes Mitglied

    Registriert seit:
    1 Juni 2001
    Beiträge:
    1.017
    ich seh das ganz genauso detlife (bezugnehmend auf das zwischen den zeilen lesen)

    wenn es wirklich wirklich sicher sein soll, dann muss es a) offen sein und b) sollte ein unabhängiges audit erstellt werden.

    beides ist bei truecrypt v7.1a gemacht worden und so ist und bleibt das imho die derzeit sicherste verschlüsselung.

    für veracrypt fehlt das audit - ansonsten ist es imho sehr vielversprechend
  16. ztrump

    ztrump Bekanntes Mitglied

    Registriert seit:
    5 Mai 2001
    Beiträge:
    2.691
    Letzte Woche hab ich den Film, The Imitation Game-Ein streng geheimes Leben gesehen.
    Darum ging es um das Knacken des Enigma Codes im 2 Weltkrieg und dessen Geheimhaltung.
    Ich war schon frueher der Ueberzeugung, dass unsere Daten, egal was wir nutzen, sicher sind.
    Ist das Risiko viel zu hoch, wenn es raus kommt, jeder wirklich Boese, seine Verschluesselung aendert.
    Daher bleibt nur die Option, eine Software die schwer zu knacken ist, als unsicher hin zu stellen, um die Leute zum Umstieg zu bewegen.
    Und da hab ich dann meine Finger drin.
    hanzwurscht, fire65 und WereWOLF GANG sagen Danke.
  17. JamesBond

    JamesBond gone for good

    Registriert seit:
    7 Dezember 2001
    Beiträge:
    5.151
    jr33 und silverrider sagen Danke.
  18. punger

    punger Bekanntes Mitglied

    Registriert seit:
    3 Juni 2001
    Beiträge:
    2.738
    7-Zip Das Packprogramm kann auch verschlüsseln mit AES. 7-Zip ist Open Source-Software.
    In Verbindung mit cryptsync können gut auch ganze Ordner verschlüsselt werden: http://stefanstools.sourceforge.net/

    Ich bleib bei 7a und warte auf Veracrypt.....Truecrypt hat auch 10 Jahre gebraucht.....
  19. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.989
    Hatte gerade neulich eine Unterhaltung, Thema war, wie planlos man im Schwarm hinter Truecrypt hergelaufen ist, obwohl man nicht wirklich wusste,
    wer eigentlich die Crew hinter der Software war. Weiterhin haben wir ja anhand vieler Beispiele gelernt, dass OpenSource kein Garant für sichere Software ist.
    Ist dend bei VeraCrypt jetzt wenigstens klar, wer da, mit welchem Hintergund sich an den Sourcen austobt usw.
    Nicht das wir uns wieder in ein paar Jahren wundern, yehh Seite verschwunden, unsere Soft war eh Schrott und wir sind eigentlich ein SideProjekt der NSA :icon_easter1:

    Greetings silverrider
  20. EchtAtze

    EchtAtze Bekannter Mitglied

    Registriert seit:
    9 Juni 2001
    Beiträge:
    5.059
    @silverrider:
    Siehe Zitat von schwaller:
    silverrider sagt Danke.
  21. Hellfire

    Hellfire Team (Mod) Mitarbeiter

    Registriert seit:
    17 April 2003
    Beiträge:
    6.715
  22. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.989
    Extrem schwierig zu beurteilen!

    Es gibt doch den Spruch, ich glaub von Zimmermann, Kryptographie ist nich sicher, sondern nur ein Thema zwischen Aufwand/Kosten/Zeit es zu knacken.
    Da gabs auch so eine schöne Tabelle der möglichen Kosten.

    Der Typ war in Target und es ging um Staatsgeheimnisse. In diesem Fall denke ich, geben die US-Behörden alles und wenn ich an die Snowdendokumente
    denke, hat so ein PC an allen Ecken und Enden eine Backdoor, u.A. auch im Bereich der Festplatten/Datenträger aller großen Hersteller.
    Wenn man dort was einnistet, müsste es doch ein leichtes sein, den Schlüssel bei gemounteter Fetsplatte abzugreifen?!?

    Auch über eine manipulierte zugespielte Webseite, lässt sich alles auf dem PC einnisten und soweit ich mehrfach gelesen habe, nutzt auch das FBI die NSA-Mittel.
    Und wenn ich noch an die Forensic-Kits für Truecrypt denke, u.A. auch der Bericht, http://www.golem.de/1003/74189.html,
    und das ist jetzt eine kommerzielle Bude, kann ich mir ausmalen, was z.B. das FBI so hat und dann
    sollte es ein leichtes sein, wenn man in irgendeiner Weise den Rechner oder das RAID-System oder Beide übernommen hat.

    Nur mal so als Gedanke :icon_easter1:

    greetings silverrider
  23. schwaller

    schwaller Bekanntes Mitglied

    Registriert seit:
    1 Juni 2001
    Beiträge:
    1.017
    hmm - jetzt geb ich mal eine verschwörungstherie von mir.
    wenn ich das lese, so wird nirgends was genaues beschrieben. jedoch überaus stark darauf hingewiesen, das truecrypt ja, so wie auch auf der truecrypt webseite geschrieben wird, unsicher ist.

    hmm ehrlich, für mich klingt das nach dem versuch, truecrypt unsicherheit zu bescheinigen, damit nun weniger sichere software eingesetzt wird und der gute ruf von truecrypt so beschädigt wird.

    der wenig nachdenkende meint dann vermeintlich sicherere soft zu benutzen, welche für nsa & co jedoch entschlüsselbar ist ;)

    ein schelm wer böses dabei denkt.

    solange kein unabhängiges audit zu dem ergebnis kommt, truecrypt sei unsicher, ist es für mich immer noch die sicherste verschlüsselungssoftware, welche erhältlich ist. (das es ein paar grundsätzlichkeiten im handling bedarf, ist klar)
    doritos sagt Danke.
  24. Hellfire

    Hellfire Team (Mod) Mitarbeiter

    Registriert seit:
    17 April 2003
    Beiträge:
    6.715
    Hallo,

    wenn es stimmt, dass die Windows 10-Telemetrie nichts anderes als ein fetter Keylogger ist, dann kann TrueCrypt so sicher sein wie es will. Der generelle Angriffspunkt scheinen mir sowieso andere Schwachstellen im benutzten System zu sein. Die nutzt man aus, um dann, z.B. mittels Keylogger, an die entsprechenden Informationen zu kommen, mit denen sich dann die wirksame Verschlüsselung von TrueCrypt umgehen lässt. Dann kann TrueCrypt so sicher sein wie es will, es nützt nichts.
    schwaller sagt Danke.
  25. WereWOLF GANG

    WereWOLF GANG Bekanntes Mitglied

    Registriert seit:
    26 September 2001
    Beiträge:
    2.711
    In dem vorliegenden Fall ist doch eher anzunehmen, dass der Beklagte freiwillig mit dem PW rausgerückt ist, um Strafmilderung zu erreichen:

    Ich finde den Vergleich mit einem "singenden Kanarienvogel" irgendwie amüsant...
  26. schwaller

    schwaller Bekanntes Mitglied

    Registriert seit:
    1 Juni 2001
    Beiträge:
    1.017
    ja, im Falle von Windows (10) mag das ja stimmen.
    Aber wie sieht es da bei den Linuxen aus? Ich denke das auch das ein Pluspunkt von Linux ist und hoffe einfach darauf, das
    es dort doch schnell auffalen würde, gäbe es fest eingebaute Keyloggerfunktionen.

    und ja, mag schon sein, das da wer gezwistschert hat wie ein Kanarienvogel ;)
    Dennoch glaube ich halt, das man solch Meldungen nicht ohne Grund rauspowert
  27. jr33

    jr33 .....

    Registriert seit:
    10 Juli 2005
    Beiträge:
    10.236
    Da so wie du viele, auch "schlimme Finger" der irrigen Annahme glaubt, das ein
    linux "sicherer" ist, wird es entsprechende ausgefeilte Werkzeuge sowohl
    beim FBI als auch der NSA geben. Snowden dürfte für einen
    weiteren Entwicklungsschub gesorgt haben.
    Die Zeiten, als diese in ihren Labors kaugummikauende Vollidioten beschäftigte,
    sind Geschichte.
  28. DetLife

    DetLife gesperrt

    Registriert seit:
    2 Mai 2001
    Beiträge:
    8.823
    Linux hat System D. :D
  29. schwaller

    schwaller Bekanntes Mitglied

    Registriert seit:
    1 Juni 2001
    Beiträge:
    1.017
    klar, die frage ist doch er, wie ist der "auslieferungszustand" oder genauer - wie sieht es direkt nach einer offiziellen installation aus.
    das linux nicht per se sicherer ist, das ist doch hoffentlich allen klar. das linux auch kompromitiert werden kann, hoffentlich ebenso.

    und das sowieso der größte unsicherheitsfaktor der mensch vor dem pc ist, weil es im entscheidenen moment doch die bequemlichkeit siegen lässt, auch darüber brauchen wir nicht streiten.

    dennoch - @jr33 meinst du nicht, das es ms es der nsa &co nicht viel einfacher macht, als es die diversen linux-distries zur zeit tun?
    F2B sagt Danke.
  30. Antitrack

    Antitrack Bekanntes Mitglied

    Registriert seit:
    10 Januar 2003
    Beiträge:
    4.190
    Also wenn ich frisch von einem Tails Linux ( https://tails.boum.org/download/index.en.html ) oder von einer von C'T herausgegebenen Bankix-DVD boote oder wenn ich ein Porteus-Linux von USB boote, fühle ich mich schon extrem viel sicherer als sonstwo.
    Infiziere doch mal eine gebrannte DVD! :D
    Dazu kommt dann: Update-Policy: Keinerlei Update des Systems übers Netz, wenn, dann wird nur die neue ISO gezogen und gut ist; alles Surfen als Guest-User; und spätestens dann bist du aber schon seeeehr viel sicherer unterwegs.
    Oft genug sind viele Viren/Trojaner speziell auf Windows und IE geschustert.
  31. jr33

    jr33 .....

    Registriert seit:
    10 Juli 2005
    Beiträge:
    10.236
    Das auf jeden Fall.
    Doch in eine Opensoft-Community lassen sich prima Maulwürfe platzieren,
    in Firmen allerdings auch.
    Und da ist ja noch eine in Deutschland wenig beachtete Sache, das scheinbar sichere Darknet,
    Wenn man Berichten darüber glauben darf, werden für die 2go-Stcicks gern Linuxdistributionen verwendet.
    Hinteren deren Nutzern ist das FBI her wie der Teufel hinter den .... (vergessen)
  32. Rainer Zufall

    Rainer Zufall Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    4.057
    btw:
    1.13 (August 9th, 2015):
    • Windows:
      • Solve TOR crashing when run from a VeraCrypt volume.
    Gruss
    Rainer
  33. JamesBond

    JamesBond gone for good

    Registriert seit:
    7 Dezember 2001
    Beiträge:
    5.151
    Veracrypt 1.14


  34. bavariantommy

    bavariantommy Universaldilletant

    Registriert seit:
    10 Mai 2001
    Beiträge:
    5.820
    Nur kann bei einer offenen Software jeder prüfen, was die da machen. Und bei heikler Software kannst du dir sicher sein, dass sehr viele Leute sehr genau hinsehen. Ein Maulwurf ergibt in dem Kontext keinen Sinn, da er keinen Schaden anrichten könnte, der nicht früher oder später auffliegt. Dank CVS etc. würde er darüber hinaus auch ziemlich schnell auffliegen. Bei closed Source Software sieht das ganz anders aus.

    Nennt sich Tails und kann sich jeder nach Belieben runterladen.
  35. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.070
    @bavariantommy:

    In Binaries sehen nur sehr sehr wenige Leute und wer kompliert schon selbst (und hat dafür die passenden Zertifikate, dass das ohne Test-Signing läuft)
  36. jr33

    jr33 .....

    Registriert seit:
    10 Juli 2005
    Beiträge:
    10.236
    Mich wundert in Sachen Netzsicherheit und gezielte Verdummung der
    Anwender in Deutschland nichts mehr.
    Angreifer, egal welcher Couleur, sind i.A. weniger naiv als z.B. Journalisten
    und auch im Gegensatz zu diesen sehr phantasievoll.
  37. Antitrack

    Antitrack Bekanntes Mitglied

    Registriert seit:
    10 Januar 2003
    Beiträge:
    4.190
    @DrSnuggles : Naja. Wer braucht schon beim Compilieren unbedingt "signed binaries"?
    Eigentlich nur die Gerätertreiber-Hersteller. Sonst niemand. :D
    PS: Gratulation zum 20.000er, Dr.S :)
  38. bavariantommy

    bavariantommy Universaldilletant

    Registriert seit:
    10 Mai 2001
    Beiträge:
    5.820
    Journalisten orientieren sich eher an Fakten als an Vermutungen.
    Phantasievoll kann man Märchenbücher schreiben, aber keine Fachartikel.

    Zum Thema. Bei einem neuerlichen Audit sind wohl ernsthaftere Probleme bei Truecrypt aufgefallen, die naturgemäß nicht mehr gepatcht werden. Die Entwickler des Forks Veracrypt ließen verlauten, dass ihre Version bereits gepatcht sei.

    http://www.zeit.de/digital/datenschutz/2015-09/truecrypt-schwachstellen-audit-veracrypt

    https://veracrypt.codeplex.com/
  39. F2B

    F2B Zwangsneurotiker

    Registriert seit:
    23 Dezember 2001
    Beiträge:
    3.576
    @bavariantommy
    Meines Wissens betrifft die gefundene Sicherheitslücke nur die Win-Version. Das Problem sind hier die installierten Treiber von Truecrypt. Diese lassen anscheinend unter gewissen Umständen erhöhte Userrechte zu.
    Aaaaber... Ein verschlüsselter Container kann damit nicht ausgelesen werden.
    Das ist zumindest mein Kentnisstand zu diesem Thema.
  40. bavariantommy

    bavariantommy Universaldilletant

    Registriert seit:
    10 Mai 2001
    Beiträge:
    5.820
    Ja, so habe ich es auch verstanden.
  41. HardwareHarry

    HardwareHarry MitGlied

    Registriert seit:
    22 April 2001
    Beiträge:
    9.107
  42. Hellfire

    Hellfire Team (Mod) Mitarbeiter

    Registriert seit:
    17 April 2003
    Beiträge:
    6.715
    Hallo,

    VeraCrypt, ist das TrueCrypt nur mit Backdoor?
  43. kawabonga

    kawabonga Bekanntes Mitglied

    Registriert seit:
    9 Juni 2001
    Beiträge:
    3.022
    Nö, mit Vanillearoma.
    omycron sagt Danke.
  44. Richard Wagner

    Richard Wagner Bekanntes Mitglied

    Registriert seit:
    30 Oktober 2002
    Beiträge:
    1.296
    Wenn ich das mit der Lücke in TrueCrypt richtig verstanden habe, ist das lediglich eine von vielen Möglichkeiten, das System anzugreifen. Warum sollte man sich da ausgerechnet TrueCrypt für aussuchen?
  45. F2B

    F2B Zwangsneurotiker

    Registriert seit:
    23 Dezember 2001
    Beiträge:
    3.576
  46. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.073
    Wenn die Lücke rein Windows-basierend ist, spielt das bei (meinen mobilen) voll verschlüsselten Rechnern eh keine Rolle.
    Während der Passphrasenabfrage beim Booten weiß TrueCrypt noch gar nix von Windows.
    AndrewOP, Antitrack und DrSnuggles sagen Danke.
  47. schwaller

    schwaller Bekanntes Mitglied

    Registriert seit:
    1 Juni 2001
    Beiträge:
    1.017
    UPDATE October 7th 2015 : VeraCrypt 1.16 has been released. It brings a more stable fix for the TrueCrypt vulnerabilities and it solves two other issues on Windows. Please check the release notes for the complete list of changes. Download for Windows is here.

    1.16 (October 7th, 2015):
    • Windows:
      • Modify patch for CVE-2015-7358 vulnerability to solve side effects on Windows while still making it very hard to abuse drive letter handling.
      • Fix failure to restore volume header from an external file in some configurations.
      • Add option to disable “Evil Maid” attack detection for those encountering false positive cases (e.g. FLEXnet/Adobe issue).
      • By default, don’t try to mount using empty password when default keyfile configured or keyfile specified in command line. Add option to restore the old behavior.
        • If mounting using empty password is needed, explicitly specify so in the command line using: /p ""
    DrSnuggles, silentreader und jr33 sagen Danke.
  48. F2B

    F2B Zwangsneurotiker

    Registriert seit:
    23 Dezember 2001
    Beiträge:
    3.576
    Ich werde weiterhin Truecrypt verwenden. Wieso? Deshalb:

    Quelle: https://www.bitblokes.de/2015/11/bsi-hat-sicherheitsstudie-zu-truecrypt-veroeffentlicht/

    Hier das Ergebnis der Sicherheitsanalsys der Frauenhofer-Institutes: https://www.bsi.bund.de/SharedDocs/...rypt/Truecrypt.pdf?__blob=publicationFile&v=2
    SpRuZ, Dr.Windos und jr33 sagen Danke.
  49. EchtAtze

    EchtAtze Bekannter Mitglied

    Registriert seit:
    9 Juni 2001
    Beiträge:
    5.059
    Na, dann wäre es doch nett, wenn sie nun auch mal VeraCrypt prüfen.
    schwaller und F2B sagen Danke.
  50. F2B

    F2B Zwangsneurotiker

    Registriert seit:
    23 Dezember 2001
    Beiträge:
    3.576
    Wenn das passiert und positiv ausfällt bin ich am überlegen umzusteigen. Aber erst dann....
    jr33 sagt Danke.